Trojan.Win32.Emotet

شرح کلی

نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Win32.Emotet
درجه تخریب: زیاد
میزان شیوع: کم

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند، اما هنگامی‌که اجرا می‌شوند خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راه‌های ورود تروجان‌ها می‌باشند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار Emotet چیست؟

بدافزار Emotet یکی از خانواده‌های معروف در زمینه سرقت اطلاعات اعتبارسنجی کاربران می‌باشد. امروزه با ماژول‌های متفاوتی از این بدافزار از جمله سرقت اطلاعات حساب کاربری ذخیره شده در مرورگر، سرقت اطلاعات اعتبارسنجی پست الکترونیکی و … روبرو هستیم. Emotet فایل‌های خود را از طریق اسپم‌های آلوده در شبکه‌های مختلف منتشر می‌کند.

توضیحات فنی

علائم آلودگی به بدافزار Emotet:

نحوه کار این بدافزار به این صورت است که ایمیل‌هایی حاوی لینک‌ها یا فایل‌های پیوست آلوده را ارسال می‌کند. فایلی که از ایمیل‌های آلوده دانلود می‌شود عموماً فرمت doc یا js دارد. فایل‌های doc حاوی ماکروهای آلوده می‌باشند و با اجرای فایل، توابع ماکرو فراخوانی شده و یک پردازه Powershell، به اجرا در می‌آید. در ادامه پردازه Powershell به ترتیب به لینک‌های زیر متصل می‌شود تا فایل اجرایی بدافزار را دانلود کند.

•    hxxp://eclatpro.com/tleyLN/
•    hxxp://teplokratiya.ru/giG1isC/
•    hxxp://xn--k1acdflk8dk.xn--p1ai/DAA4WB/
•    hxxp://soo.sg/dbs/media/sJUjDl/
•    hxxp://rosehill.hu/ooOCqD/

در صورت موفق شدن به دانلود فایل اجرایی، آنرا در مسیر %TEMP% ذخیره کرده و بلافاصله اجرا می‌کند.
روال عملکرد Emotet به این صورت است که در سه مرحله آلودگی خود را در سیستم اعمال می‌کند.

  1.  از طریق ایمیل آلوده وارد سیستم می‌شود.
  2. فایل اجرایی خود را دانلود می‌کند.
  3. با اجرای فایل دانلود شده و اتصال به سرورهای خود، ماژول‌های اصلی خود را دانلود می‌کند.

فایل اجرایی بدافزار بعد از آنکه موفق به ارتباط با سرور مورد نظر شد، اطلاعات پردازه‌های سیستم را بعلاوه اطلاعات برنامه‌هایی نظیر Microsoft outlook و یا از این دست برنامه‌ها که مربوط به ایمیل قربانی‌ها می‌شود را برای سرور خود ارسال می‌کند.

بعد از آنکه مبادله اطلاعات بین سیستم قربانی و سرور انجام شد، سرور اقدام به ارسال ماژول آلوده به سیستم قربانی می‌کند. این ماژول توسط فایل اجرایی بدافزار به اجرا در می‌آید.
ماژول‌های بدافزار Emotet به چند دسته تقسیم می‌شوند که عبارتند از:

  1. سرقت اطلاعات اعتبارسنجی
  2. انتشار بدافزار از طریق ارسال هرزنامه‌ها
  3. حملات DDos
  4. سرقت اطلاعات مربوط به‌حساب کاربری اشخاص از مرورگرها
  5. سرقت اطلاعات اعتبارسنجی از سرویس‌های پست الکترونیکی

روش مقابله و پاک‌سازی سیستم

آنتی‌ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد می‌شود از کلیک بر روی لینک‌های مشکوک خودداری نموده و فایل‌های ضمیمه ایمیل‌ها را قبل از اجرا، حتما پویش کنید. همچنین در صورت امکان همیشه سیستم‌عامل و آنتی‌ویروس خود را به روز نگه دارید.